思科（Cisco）本周發(fā)布安全公告，警告旗下采用Linux操作系統(tǒng)核心的網(wǎng)絡(luò)產(chǎn)品存在名為FragmentStack的阻斷服務(wù)（DenialofService，歐洲服務(wù)器租用 云服務(wù)器，DoS）漏洞，可影響路由器、交換器等88款產(chǎn)品，香港免備案主機(jī) 美國服務(wù)器，導(dǎo)致系統(tǒng)停止響應(yīng)。

思科曝出88款網(wǎng)絡(luò)產(chǎn)品存在LinuxDoS漏洞

代號(hào)為CVE-2018-5391的FragmentSmack在8月間首次為CERT/CC機(jī)構(gòu)揭露，覆蓋Linux核心3.9以上版本。遠(yuǎn)程攻擊者可傳送低速的惡意IP封包，影響數(shù)據(jù)片段重組（fragmentreassembly）過程進(jìn)而引發(fā)DoS攻擊，使CPU容量超載而導(dǎo)致系統(tǒng)掛掉。不過此種手法已流行了數(shù)年，亦有專門的更新程序推出。

最初FragmentSmack只影響Windows系統(tǒng)，然而最新的變種則會(huì)讓Linux也中招。目前Amazon、JuniperNetworks及Linux廠商相繼推出了針對(duì)性補(bǔ)丁程序。

隨后思科開始核查旗下采用Linux核心3.9版以上的產(chǎn)品，并于本周公布受影響產(chǎn)品名單。現(xiàn)在已知的是，包括CiscoIOSXE軟件、多款vEdge路由器系列、Nexus交換機(jī)系列和AironetAP產(chǎn)品等網(wǎng)絡(luò)及管理設(shè)備、Telepresence視訊產(chǎn)品、WLAN設(shè)備共88項(xiàng)產(chǎn)品受到影響。

鑒于涉及到的產(chǎn)品線不同，補(bǔ)丁預(yù)計(jì)會(huì)在2018年9月到2019年2月之間陸續(xù)推出。而在此之前，思科建議網(wǎng)管人員使用限速措施，如訪問控制列表（ACL）或CoPP（ControlPlanePolicing）來控制進(jìn)入的IP封包片段。另外，使用外部防火墻或網(wǎng)站前端設(shè)備中的ACL也能有效控制IP片段的進(jìn)入，算是臨時(shí)的安全防護(hù)方案吧。